浏览器Cookie策略

最新推荐文章于 2022-05-27 10:34:13 发布
最新推荐文章于 2022-05-27 10:34:13 发布
阅读量7.7k 收藏 3
点赞数 3
分类专栏: Web Security 文章标签: cookie策略 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40270125/article/details/89603448
版权

浏览器所持有的Cookie分为两种:一种是"Session Cookie", 又称作“临时Cookie”;另一种是“Third-party Cookie”,也称为“本地Cookie”。

两者的区别在于,Third-party Cookie是服务器在Set-Cookie时指定了Expire时间,只有到了Expire时间后Cookie才会消失,所以这种Cookie会保存在本地;而Session Cookie则没有指定Expire时间,所以浏览器关闭后,Session Cookie就消失了。Session Cookie保存在浏览器进程的内存空间中,而Third-party Cookie则保存在本地。

如果浏览器从一个域的页面中,要加载另一个域的资源,由于安全原因,某些浏览器会阻止Third-party Cookie的发送。

下面这个例子,演示了这一过程。

在http://www.a.com/cookie.php中,会给浏览器写入两个Cookie:一个为Session Cookie,另一个为Third-party Cookie。

<?php
header("Set-Cookie: cookie1=123;");
header("Set-Cookie: cookie2=456;expires=Thu, 01-Jan-2030 00:00:01 GMT;", false);
?>

访问这个页面,发现浏览器同时接收了这两个Cookie。

这时再打开一个新的浏览器Tab页,访问同一个域中的不同页面。因为新Tab页在同一个浏览器进程中,因此Session Cookie将被发送。

此时在另一个域中,有一个页面http://www.b.com/csrf-test.html,此页面构造了CSRF以访问www.a.com。

<iframe src="http://www.a.com" ></iframe>

这时却会发现,只能发送出Session Cookie,而Third-party Cookie被禁止了。

这是因为IE出于安全考虑,默认禁止了浏览器在<img>、<iframe>、<script>、<link>等标签中发送第三方Cookie。

在Firefox中,默认策略是允许发送第三方Cookie的。

 

公羽龙天
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Webrtc系列四——Ubuntu 20.04上Apprtc服务搭建(含所有源代码)之二
louis的专栏
04-22 548
上一节Webrtc系列三——Ubuntu 20.04上Apprtc服务搭建之一中,我们已经安装和配置好了所有的服务器。本篇主要来测试所有的链路。
浏览器cookies查看_如何在任何浏览器中阻止Cookies(除了您使用的网站外)
culul01313的博客
09-13 6840
浏览器cookies查看Cookies can be useful when you’re in control of them. Today we’re taking a look at how you can control cookies by blocking them except for when you want them to enhance your user experien...
浏览器cookie被禁掉,该如何去解决
qq_44978342的博客
05-27 6336
解决方案一:URL回写(老方法) 针对上图进行描述: 当我们的浏览器去访问后台服务时,如果浏览器cookie禁掉,我们使用cookie传递的sessionId或者是一些token信息,就无法返还给前台的浏览器,就会出现用户登录后,依旧还提示重新登录的情况。 上图的解决方式:就是我们的服务器在进行重定向的时候,将这些信息拼接到浏览器的url后,这样可以解决cookie的问题,但是路径中比如url?username=zhangsan&password=123456,我们无法判断传递的参数中的
third-party-cookie-setter:如何在 iframe 中设置 cookie
06-10
第三方 Cookie 设置器 有时无法在用户第一次访问页面时从第三方框架站点设置 cookie。 这通常是合法网站正常运行所必需的。 此解决方案通过尝试设置 cookie,或将用户重定向到框架外到父窗口,设置 cookie,并将用户返回到父页面和框架页面来解决此问题。 语言 JavaScript 例子 框架站点包括检查是否可以设置 cookie 以及是否进行了尝试 < script src = "/path/to/csThirdPartyCookie.js" > < / script > < script > window . onload = function ( ) { var thirdPartyCookie = new csThirdPartyCookie ( ) ; if ( ! thirdPartyCookie . check ( ) ) {
浅谈cookie
wwdlk的专栏
10-05 831
本人菜鸟一枚,说叉屁了请指正。 1、认识cookie 当年我在帮别人
浏览器cookie策略
weixin_43952190的博客
11-30 926
浏览器所有的Cookie分为两种:一种是“Session Cookie”,又称“临时Cookie”;另一种是“Third-party-Cookie”,也称为“本地Cookie”; 两者的区别在于“Third-party-Cookie”是服务器在set-Cookie时指定了EXpire时间,只有到了Expire时间后Cookie才会失效,所以这种Cookie会保存在本地;而Session Cooki...
浏览器同源策略Cookie的作用域
weixin_33895695的博客
09-28 82
所谓"同源"指的是"三个相同": 1.协议相同 2.域名相同 3.端口相同 当着三个地方相同才算同源 例如:http://www.example.com:8888/dir/page.html 协议是http:// 域名是www.example.com 端口是8888 采用同源策略的目的:是为了保证用户信息的安全,防止恶意的网站窃取数据。设想这样一种情况:A网站是一家银行,用户登录以后,又去...
浏览器Cookie详解
syzdev的博客
04-01 3628
1 Cookie是什么 参考:HTTP cookies - MDN HTTP Cookie(也叫 Web Cookie浏览器 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据(一般为4KB),它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie 使基于无状态的HTTP协议记录稳定的状态信息成为了可能。 2 Cookie产生的背景 Cookie的诞生是为了弥补HTTP无状态的缺点,所谓无状态,
Cookie机制
coolshyman的博客
01-19 1464
Cookie机制 一、Cookie术语 Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session 跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 HTTP 协议中的 Cookie 包括 Web Cookie浏览器 Cookie,它是服务器发送到 Web 浏览器的一小块数据。服务器发送到浏览器Cookie浏览器会进行存储,并与下一个请求一起发送到服务器。通常,它用于判断两个请求是否来自于
Cookie的生命周期与传递策略
前端小本子
02-20 2899
1. 起源 Cookie是进行网站用户身份,实现服务端Session会话持久化的一种非常好方式。Cookie最早由Netscape公司开发,现在由 IETF 的RFC 6265标准备对其规范,已被所有主流浏览器所支持。 为什么需要Cookie? HTTP是一种无状态的协议,客户端与服务器建立连接并传输数据,数据传输完成后,连接就会关闭。再次交互数据需要建立新的连接,因此,服务器无法从连接上跟踪会话,也无法知道用户上一次做了什么。这严重阻碍了基于Web应用程序的交互,也影响用户的交互体验。如:在网络有时
新版本chrome浏览器带来的跨域请求cookie丢失问题
qq_16059847的博客
09-27 4984
今天线上业务的跨域接口请求莫名的出现问题,经深入排查,发现新版本的chrome浏览器(80版本之后)对cookie的校验更加严格,SameSite属性默认值由None变为Lax,因此可能会对线上业务带来问题特此与大家同步一下今天的发现,存在跨域接口调用业务的小伙伴可能需要关注。 chrome升级到80版本之后(准确的说是78版本之后,灰度测试,如上图,即也可能存在同一版本不同人的浏览器表现不同),cookie的SameSite属性默认值由None变为Lax,该问题的讨论可参考:https://githu
cookieconsent:用Vanilla JS编写的简单的跨浏览器Cookie同意插件
04-29
目录 (正在进行的工作) 使用Google Analytics(分析)进行配置使用具有嵌入式完整Cookie策略的配置执照 主要特征轻量级(精简版〜10kb) 跨浏览器支持(IE8 +) 独立(无需外部依赖) 符合GDPR 支持多国语言允许您...
JavaScript Cookie:一个简单,轻巧JavaScript API,用于处理浏览器cookie-开源
04-25
一个简单,轻量级JavaScript API,用于处理Cookie,该cookie在所有浏览器中均可使用,并且可以接受任何字符。 它经过了严格的测试,没有依赖性,支持ES模块并支持AMD / CommonJS。 它符合RFC 6265,具有有用的Wiki,...
policy_cookies_getherer:网页的弹出插件可在浏览器Cookie中获取策略设置
04-13
弹出窗口-网站应用程序,用于收集有关隐私设置的Cookie 项目启动 要在本地计算机上运行该应用程序,请按照下列步骤操作: 使用以下命令安装依赖项:npm install 启动开发服务器npm run start:dev 该应用程序将...
browser-storage:基于浏览器的缓存策略
06-26
基于浏览器的缓存策略(browser-storage) 浏览器本地存储的一个解决方案,存储优先级依次为:HTML5-localStorage > IE-UserData > Cookie;并提供一套友好的API,对本地存储数据进行批量存储、读取、移除、清空等...
白帽子讲浏览器安全.钱文祥(带详细书签).pdf
03-08
1.5 浏览器的应对策略 9 1.6 “白帽子”与浏览器厂商的联手协作 9 1.7 全书概览 10 1.8 本章小结 12 2 浏览器中常见的安全概念 13 2.1 URL 13 2.1.1 URL的标准形式 15 2.1.2 IRI 16 2.1.3 URL的“可视化”...
阻止第三方 cookie_如何在每个Web浏览器中阻止第三方Cookie
culul01313的博客
09-12 7458
阻止第三方 cookieInternet cookies have been around since the beginning of the web, and for the most part they serve a useful purpose. Butwhile most cookies are fairly innocuous, andeven necessary, some a...
浏览器Cookie策略
Code_Aape的博客
07-14 1241
Session Cookie & Third-party Cookie
浏览器cookie能看见但读不到
最新发布
07-28
如果你能在浏览器中看到cookie,但无法通过代码读取它们,可能存在以下几种情况: 1. 跨域限制:浏览器有同源策略,即只允许在同一域名下访问cookie。如果你的代码尝试从不同域名下的页面中读取cookie,就会受到浏览器的限制。 2. 安全设置:浏览器有一些安全设置,如HttpOnly属性,可以防止通过JavaScript访问某些cookie。这通常用于保护敏感信息,如会话标识符。如果cookie设置了HttpOnly属性,你将无法通过JavaScript读取它。 3. 客户端限制:有些浏览器设置了对cookie的限制,限制其在客户端的可见性。例如,浏览器可能会限制第三方cookie或设置cookie的过期时间。 如果你确定不存在上述问题,并且仍然无法通过代码读取cookie,可能是代码中存在错误或其他原因导致。你可以检查代码中读取cookie的部分,确保正确使用了相关的API和方法来读取cookie。另外,还可以使用浏览器开发者工具来调试代码,查看是否有任何错误或警告信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值